美国网络安全和基础设施安全局(CISA)近日发布警告,提醒所有使用GrassMarlin工具的用户注意一个新发现的安全漏洞。该工具由美国国家安全局(NSA)开发,攻击者可利用此漏洞窃取敏感信息。
此次漏洞由Dragos公司高级工业渗透测试员格雷迪·德罗萨(Grady DeRosa)首先报告。该漏洞影响GrassMarlin的所有版本。GrassMarlin是NSA开发并开源的网络安全工具,主要服务于关键基础设施组织、工业控制系统及SCADA网络的网络安全防护工作。
由于GrassMarlin已于2017年停止维护,官方不会推出任何补丁修复。对此,CISA建议用户采取以下措施:确保控制系统和设备不通过公开互联网访问、通过防火墙将网络和设备与业务网络隔离,并确保远程访问通道的安全性。
CISA未透露漏洞编号CVE-2026-6807(评分5.5)的过多细节,但确认一旦漏洞被成功利用,可能导致敏感信息泄露。CISA在周二发布的安全公告中指出:"该漏洞源于XML解析过程中安全加固措施不足。"
此类攻击(CWE-611)通常影响处理XML文件的产品。GrassMarlin主要使用XML格式保存会话文件,包括节点与连接列表、节点位置、颜色及会话元数据等,并将这些文件打包为ZIP压缩包,以.gm3扩展名保存。
此类攻击通常被称为XML外部实体(XXE)攻击,攻击者会诱导系统所有者解析经过篡改的恶意XML文件,从而实现数据窃取。以上为XXE攻击的基本原理,CISA并未具体说明CVE-2026-6807的实际利用方式。
Rapid7公司渗透测试员安娜·奎恩(Anna Quinn)随后公开了一个概念验证漏洞利用程序,并将其发布至GitHub。奎恩在说明中写道:"通过对GrassMarlin代码进行分析,我判断可能存在漏洞的参数与打开已保存会话时所加载的XML文件有关。通过构造恶意请求,我发现可以在GrassMarlin的消息控制台中触发报错。虽然报错的原因和内容在GrassMarlin的所有日志和输出中均被完整过滤,但通过在DTD中引用外部主机,仍可实现对任意文件的带外(OOB)数据窃取。此外,该漏洞存在一定限制条件:系统不能使用较新版本的Java,必须使用GrassMarlin安装包自带的Java版本。同时,多种类型的输入会导致报错,从而干扰数据窃取过程。为绕过这一限制,可将内容转换为Base64编码后,分多个消息块进行传输。"
奎恩在LinkedIn的另一篇文章中指出,该漏洞对大多数组织构成的威胁程度有限,实际上只能通过网络钓鱼方式加以利用,攻击途径包括本地用户之间的内部传播或外部电子邮件攻击。
Q&A
Q1:GrassMarlin是什么工具?它有什么用途?
A:GrassMarlin是由美国国家安全局(NSA)开发并开源的网络安全工具,主要用于支持关键基础设施组织、工业控制系统和SCADA网络的网络安全防护工作。该工具主要使用XML格式保存会话文件,包括网络节点信息、连接关系、位置及元数据等内容,并以.gm3格式进行存储。不过,该工具已于2017年停止官方维护,目前处于停更状态。
Q2:CVE-2026-6807漏洞是怎么被利用的?
A:CVE-2026-6807是一个XML外部实体(XXE)攻击漏洞,根源在于GrassMarlin的XML解析过程缺乏足够的安全加固。攻击者通过构造恶意XML文件,诱导用户打开,从而触发漏洞并窃取敏感数据。Rapid7研究员奎恩进一步发现,攻击者可通过在DTD中引用外部主机实现带外数据窃取,并将文件内容以Base64编码分块传输来绕过错误限制。该漏洞主要依赖网络钓鱼方式传播。
Q3:GrassMarlin漏洞没有补丁,用户该如何防护?
A:由于GrassMarlin已于2017年停止维护,官方不会发布任何安全补丁。CISA建议用户采取以下防护措施:确保工业控制系统和相关设备不直接暴露在公开互联网上;通过防火墙将工控网络与企业业务网络进行隔离;同时确保所有远程访问连接均通过安全方式建立,降低被攻击的风险。
好文章,需要你的鼓励
Netgear发布云端网络管理平台Insight 10.0,引入AI驱动能力,专为中小型企业(SME)和托管服务提供商(MSP)设计。新版本提供智能运维、统一可视化、简化管理及云原生架构四大核心升级,支持自动化故障排查、设备健康监控及多站点集中管理,帮助IT团队从被动响应转向主动运维,解决中小企业长期缺乏企业级网络管理工具的痛点。
北京大学与DP Technology提出PRA框架,通过16维低维中间状态与并行解码像素输入,同时解决像素空间自回归图像生成的高维预测误差和训练推断差距两大瓶颈,135M参数超越19亿参数模型。
许多人将旧电子设备堆放在储藏室或车库中,而非妥善处置。实际上,回收旧电脑和打印机既简单又通常免费。Best Buy、Staples等大型零售商均提供免费电子废品回收服务,每日可接收多台设备。在回收前,务必通过恢复出厂设置或专业工具彻底清除个人数据。如无零售店,可通过Earth911或消费技术协会的在线工具查找附近的回收中心。
MultiHashFormer用多个哈希函数替代传统词典,为生成式语言模型解决了哈希碰撞难题,在多规模测试中稳定超越标准Transformer,且支持零参数增量的多语言词汇扩展。